提訴が示す生成AI悪用の現実
Googleは生成AI「Gemini」を悪用し、大規模に詐欺メッセージを送信したとされる中国系組織を提訴した。短期間に大量送信できる点は、生成AIが文面生成の速度と品質を同時に引き上げた結果である。日本語の不自然さといった従来の見分け方は効きにくくなり、受信者属性に合わせた文面の量産も容易になった。情シスは「見抜く」前提から脱し、被害を前提に止める設計へ更新すべきだ。
攻撃の典型フローと企業被害の拡大点
入口は配送・金融・クラウド通知などを装うメールやSMS、チャットである。偽サイトや偽フォームに誘導し、ID/パスワードやワンタイムコードを奪取する。侵害後はメール転送ルール悪用やSaaSへの横展開が起きやすく、請求書詐欺(BEC)や不正送金に直結する。被害が大きくなるのは「認証突破後」だと捉え、監視範囲をメール単体に閉じないことが重要である。
情シスが優先すべき技術対策
なりすまし対策はSPF/DKIM/DMARCを整備し、DMARCは監視止まりにせず段階的にquarantineやrejectへ移行する。多要素認証はSMS依存を減らし、パスキーやセキュリティキー等のフィッシング耐性が高い方式を特権・経理・管理系から適用する。URLクリックは起きる前提で、サンドボックスや隔離ブラウジング、ファイル無害化、SSE/CASBで到達点のリスクを抑える。加えて、ID基盤・メール・主要SaaSの監査ログを集約し、不審な地域/端末/大量操作、転送ルール作成などを検知し、対応手順(誰が何分以内に止めるか)まで定義する。